Fraude del CEO

Glosario

El fraude del CEO es una de las estafas más extendidas de spear phishing. En este tipo de ataque, los empleados reciben un correo electrónico supuestamente de sus superiores donde les exigen, por ejemplo, que transfieran una determinada cantidad de dinero o que revelen datos sensibles.

El fraude del CEO se centra en la imitación de situaciones profesionales diarias. En empresas con una estructura jerárquica y un ritmo rápido, se suele exigir que los procesos se realicen con rapidez. Por ello, los empleados están acostumbrados a que se les pida transferencias de una gran suma de dinero y de forma rápida.

Como estos ataques imitan la comunicación diaria y van dirigidos directamente a los empleados, les corresponde a ellos reconocer el ataque y reaccionar ante él. Otra característica del fraude del CEO es que imitar dichos mensajes es posible debido a la simplicidad de sus ataques. Los programas antivirus o los cortafuegos no son eficaces en este caso porque no se trata de un ataque técnico. Solo se puede hacer frente a este problema mediante la concienciación continua y la vigilancia permanente.

El truco del fraude del CEO es que lo primero que ve el lector al abrir un correo electrónico es el nombre y el apellido del remitente. Sin embargo, la dirección de correo electrónico, que solo se ve después de abrir la vista detallada, suele pasar desapercibida, aunque sea la pista principal de este tipo de ciberataque. Por lo tanto, analiza estas características al abrir un correo electrónico:

  1. Forma de escribir
    Cada empleado conoce la forma de escribir de sus superiores. Cada uno tiene sus preferencias en cuanto al saludo, la forma de dirigirse (tú o usted), la elección de las palabras o la firma.
  2. Tipo de comunicación
    La comunicación digital abre un amplio abanico de canales y formas de comunicación. Ya sea por correo electrónico, una aplicación de mensajería, redes sociales, SMS o incluso un mensaje de audio: todo el mundo utiliza un canal para cada situación. Si te resulta extraño el comportamiento de tu interlocutor, debes cuestionar la autenticidad del mensaje.
  3.  Circunstancias de la comunicación
    Evaluar la situación suele ser el punto más crítico. En las empresas con una comunicación interna insuficiente o poco transparente, muchas veces no está claro qué obligaciones quedan pendientes, ya sean citas comerciales o compras. A nivel de dirección, a veces surgen citas de forma espontánea o encargos de trabajo que se asignan oralmente, incluso durante las vacaciones. Si como trabajador no tienes una certeza total de que un jefe ha asistido a una cita, siempre deberías asegurarte por otro canal seguro y habitual. En caso de duda, debe consultarse el reglamento interno. Los directivos también tienen el deber de alentar a sus empleados a comportarse de forma segura.

 

Medidas de protección

Para proteger de los estafadores tanto a los empleados como a los directivos, es importante introducir una serie de medidas de protección. Además de normas internas, como los procesos de aprobación de pagos o los acuerdos de representación, deben incluirse medidas educativas. La formación basada en la concienciación y la información interna sobre las amenazas actuales deben formar parte del plan de seguridad informática de la empresa.

Además, los directivos deben acordar ciertos canales de comunicación con su personal, sobre todo si trabajan en puestos públicos o centrales en contacto directo con la dirección (finanzas, recursos humanos, comunicación, marketing).

El fraude del CEO es una estafa especialmente peligrosa que utilizan los estafadores en línea. A diferencia de con los virus y troyanos, en este ámbito no existen medidas técnicas que sirvan para protegernos, a excepción de los filtros de spam. Si un correo electrónico de este tipo llega a la bandeja de entrada del empleado, lo único que puede ayudar es su concienciación ante los peligros cibernéticos y las medidas de precaución internas que eviten consecuencias peores.